Capa do Ebook gratuito Finanças Pessoais Antifraude: Como se Proteger de Golpes, Vazamentos e Armadilhas Digitais no Dia a Dia

Finanças Pessoais Antifraude: Como se Proteger de Golpes, Vazamentos e Armadilhas Digitais no Dia a Dia

Novo curso

22 páginas
Todos os cursos > Administração e Negócios > Finanças pessoais ::

Autenticação em dois fatores e chaves de acesso: configuração e boas práticas

Capítulo 9

Tempo estimado de leitura: 17 minutos

Audio Icon

Ouça em áudio

0:00 / 0:00

O que é autenticação em dois fatores (2FA) e por que ela muda o jogo

Autenticação em dois fatores (2FA) é um método de login que exige dois elementos de prova para confirmar que você é você. Em vez de depender apenas de “algo que você sabe” (a senha), o acesso também depende de “algo que você tem” (um celular, um token, uma chave física) ou “algo que você é” (biometria). Na prática, isso reduz muito o impacto de vazamentos de senhas e de tentativas de invasão por adivinhação, porque o atacante precisaria também do segundo fator.

Um jeito simples de visualizar: a senha é a fechadura; o 2FA é uma segunda trava. Se alguém copia a chave da primeira trava (sua senha vazada), ainda precisa da segunda trava para entrar.

Em finanças pessoais, 2FA é especialmente relevante em: bancos e corretoras, carteiras digitais, e-mails (que costumam ser a “chave mestra” para redefinir senhas), lojas online com cartão salvo, apps de investimento, e qualquer serviço que permita movimentar dinheiro, alterar dados cadastrais ou recuperar acesso por e-mail/SMS.

Os tipos de 2FA: vantagens, limitações e quando usar

1) Códigos por SMS

É o 2FA mais comum: após digitar usuário e senha, você recebe um código por SMS. Ajuda, mas tem limitações importantes. O SMS pode ser interceptado em alguns cenários (por exemplo, ataques envolvendo troca de chip/linha, falhas de operadora ou redirecionamentos). Além disso, o SMS pode falhar em viagens, áreas sem sinal ou quando o número está desatualizado.

Quando usar: se for a única opção disponível, é melhor do que nada. Mas, sempre que possível, prefira métodos mais robustos.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

2) Aplicativos autenticadores (TOTP)

São apps que geram códigos temporários (geralmente mudam a cada 30 segundos) mesmo sem internet. Esse padrão é conhecido como TOTP. Em vez de depender da operadora, o código é gerado localmente no seu aparelho a partir de uma “semente” (um segredo compartilhado) configurada quando você ativa o 2FA.

Vantagens: mais resistente que SMS, funciona offline, é amplamente suportado. Limitações: se você perder o celular e não tiver backup/recuperação, pode ficar travado para entrar. Por isso, a etapa de backup é parte essencial da configuração.

3) Notificações “Aprovar login” (push)

Alguns serviços enviam uma notificação para um app confiável: você toca em “Aprovar” ou “Negar”. É prático, mas exige atenção: ataques podem tentar “bombardear” com solicitações até você aprovar por engano (fadiga de aprovação). Em alguns casos, também pode haver tentativas de enganar o usuário por telefone para aprovar uma solicitação.

Boa prática: só aprove quando você mesmo iniciou o login e reconhece o local/dispositivo. Se aparecer do nada, negue e troque a senha, revise sessões ativas e métodos de recuperação.

4) Chaves de segurança físicas (FIDO2/U2F)

São dispositivos físicos (USB, NFC, etc.) que você conecta ao computador ou aproxima do celular para confirmar o login. Elas são muito fortes contra phishing, porque validam o domínio real do site e não “entregam” um código reutilizável. Mesmo que você caia em uma página falsa, a chave não autentica em domínio diferente.

Limitações: custo e logística (ter uma chave reserva, não perder). Para contas críticas (e-mail principal, gerenciador de senhas, corretora), é uma das melhores opções.

5) Biometria como segundo fator

Biometria (digital/rosto) pode ser usada para desbloquear o dispositivo ou autorizar ações. Ela é conveniente, mas não deve ser tratada como “senha” que você troca: se vazar, você não troca seu rosto. O uso mais seguro é como proteção local do aparelho (para impedir que alguém com o celular desbloqueado aprove transações), combinado com um método forte de autenticação no serviço.

Chaves de acesso (passkeys): o que são e por que são diferentes de 2FA

Chaves de acesso (passkeys) são uma forma moderna de autenticação baseada em criptografia de chave pública. Em vez de você digitar uma senha, seu dispositivo cria e guarda uma credencial criptográfica. Quando você faz login, o serviço envia um desafio e seu dispositivo assina esse desafio com a chave privada, provando que você é o dono da credencial. A chave privada não sai do dispositivo (ou do seu gerenciador de credenciais), e o servidor guarda apenas a chave pública.

O resultado prático: não há senha para ser vazada, adivinhada ou reutilizada. E, assim como as chaves físicas FIDO2, as passkeys são resistentes a phishing, porque a autenticação está vinculada ao domínio legítimo.

Passkeys podem funcionar de duas formas comuns: (1) armazenadas no próprio dispositivo (celular/computador) e desbloqueadas por biometria/PIN; (2) sincronizadas por um ecossistema/gerenciador de credenciais, permitindo usar em vários dispositivos. Em ambos os casos, o login tende a ser mais rápido e mais seguro do que senha + código.

Quando priorizar 2FA e quando priorizar passkeys

  • Se o serviço já oferece passkeys: em geral, ative e use passkeys como método principal, mantendo um método de recuperação bem configurado.

  • Se o serviço não oferece passkeys, mas oferece chave física FIDO2: considere usar chave física para contas críticas.

  • Se o serviço só oferece app autenticador (TOTP) e SMS: prefira TOTP.

  • Se você depende de um e-mail para recuperar tudo: proteja esse e-mail com o método mais forte disponível (passkey ou chave física; na falta, TOTP).

Uma regra prática para finanças pessoais: a conta de e-mail principal e o número de telefone (quando usado para recuperação) são pontos de alto impacto. Se alguém toma controle do e-mail, pode redefinir senhas de bancos, lojas e carteiras. Portanto, comece por aí.

Passo a passo: ativando 2FA com aplicativo autenticador (TOTP)

O fluxo exato muda entre serviços, mas a lógica é parecida. Use este roteiro como checklist.

1) Preparação antes de ativar

  • Atualize o app do serviço (banco, e-mail, corretora) e o sistema do seu celular.

  • Escolha um app autenticador confiável e instale no seu celular.

  • Garanta que o relógio do celular está em “ajuste automático”. Códigos TOTP dependem de horário correto.

2) Ativação no serviço

  • Entre na conta e vá em configurações de segurança.

  • Procure por “Autenticação em dois fatores”, “Verificação em duas etapas” ou “2FA”.

  • Selecione a opção “Aplicativo autenticador” (ou “Authenticator app”).

  • O serviço exibirá um QR code e, às vezes, um código textual (a semente).

  • No app autenticador, escolha “Adicionar conta” e escaneie o QR code.

  • Digite no site/app o código de 6 dígitos gerado para confirmar.

3) Parte crítica: códigos de backup e recuperação

Quase todo serviço oferece “códigos de backup” (uma lista de códigos de uso único) para entrar caso você perca o celular. Essa etapa é onde muita gente falha.

  • Gere os códigos de backup.

  • Armazene em local seguro e separado do celular. Exemplos práticos: impresso e guardado em local protegido; ou salvo em um cofre digital seguro (desde que você não dependa do mesmo dispositivo para acessar).

  • Não guarde como foto na galeria, nem em notas desprotegidas.

  • Se o serviço permitir, cadastre um segundo método de 2FA (por exemplo, uma chave física como reserva) e um e-mail/telefone de recuperação bem controlado.

4) Teste controlado

  • Saia da conta e entre novamente para confirmar que o 2FA está funcionando.

  • Verifique se o serviço mostra dispositivos confiáveis e sessões ativas; encerre sessões desconhecidas.

Passo a passo: ativando passkeys (chaves de acesso) com boas práticas

Passkeys podem ser criadas no celular ou no computador. O processo costuma ser: entrar na conta, ir em segurança, escolher “Adicionar chave de acesso”, confirmar com biometria/PIN e dar um nome para a credencial (ex.: “Meu celular pessoal”).

1) Preparação

  • Atualize o sistema do celular/computador e o navegador.

  • Defina um bloqueio de tela forte (PIN longo ou senha do dispositivo). Biometria é conveniente, mas o PIN é o “plano B”.

  • Revise se seu método de recuperação do serviço está atualizado (e-mail alternativo, telefone, etc.), mas evite depender apenas de SMS quando houver alternativas.

2) Criando a passkey

  • No serviço, vá em “Segurança” > “Chaves de acesso/Passkeys” > “Adicionar”.

  • Escolha onde salvar: no dispositivo atual ou em um gerenciador de credenciais compatível.

  • Confirme com biometria ou PIN do dispositivo.

  • Nomeie a passkey com clareza (ex.: “Notebook trabalho”, “Celular pessoal”). Isso ajuda a revogar a credencial certa se perder um aparelho.

3) Crie redundância (sem exageros)

Para contas críticas, é recomendável ter mais de uma forma de entrar, sem abrir muitas portas de recuperação fraca.

  • Cadastre uma segunda passkey em outro dispositivo que você controla (por exemplo, um segundo celular ou um computador pessoal).

  • Se o serviço permitir, mantenha também um método alternativo forte (como chave física) ou códigos de backup.

  • Evite adicionar muitos métodos fracos “por comodidade”. Cada método extra é uma nova superfície de ataque.

4) Teste de login e revogação

  • Faça logout e teste o login com passkey.

  • Localize a tela onde é possível remover/revogar passkeys. Saber onde fica isso economiza tempo em caso de perda/roubo.

Boas práticas essenciais para 2FA e passkeys no dia a dia

Proteja primeiro as contas “chave mestra”

Priorize: e-mail principal, conta que recebe códigos/alertas, armazenamento de documentos, e qualquer serviço que permita redefinir senhas de outros. Se você só ativar 2FA no banco, mas deixar o e-mail sem proteção forte, o atacante pode tentar recuperar o acesso ao banco pelo e-mail.

Evite “aprovar por reflexo”

Em métodos por notificação, trate cada pedido como uma transação: se você não iniciou o login, negue. Exemplo prático: você está assistindo TV e chega uma notificação “Aprovar login”. Você não está entrando em lugar nenhum. A ação correta é negar, depois revisar a segurança da conta (senha, sessões ativas, dispositivos autorizados).

Não compartilhe códigos e não “leia o código” para ninguém

Códigos de 2FA são para serem digitados por você no serviço, no momento do login. Se alguém pede para você informar o código por telefone/chat, isso é um sinal de tentativa de tomada de conta. Em rotinas financeiras, isso aparece como “validação de segurança”, “confirmação de cadastro” ou “cancelamento de transação”.

Tenha um plano para perda/roubo do celular

2FA e passkeys aumentam a segurança, mas podem aumentar o atrito se você perder o dispositivo. Planeje antes:

  • Mantenha códigos de backup guardados com segurança.

  • Cadastre um segundo dispositivo confiável para passkeys quando possível.

  • Saiba como bloquear o chip/linha e como apagar o aparelho remotamente (quando aplicável).

  • Revise periodicamente os métodos de recuperação cadastrados.

Use bloqueio de tela forte e tempo de bloqueio curto

Se o seu segundo fator está no celular, o celular vira um cofre. Configure bloqueio de tela com PIN/senha forte e bloqueio automático em poucos minutos. Exemplo prático: se você usa autenticação por notificação, um celular desbloqueado em cima da mesa pode permitir aprovações indevidas.

Revise dispositivos e sessões ativas

Muitos serviços mostram “dispositivos conectados” e “sessões ativas”. Faça uma revisão periódica, especialmente após viagens, troca de celular, uso em computador de terceiros ou qualquer comportamento estranho (alertas de login, e-mails de “novo dispositivo”). Remova o que você não reconhece.

Entenda a diferença entre 2FA e “recuperação de conta”

Um erro comum é fortalecer o login e deixar a recuperação fraca. Se a recuperação permite redefinir acesso apenas com e-mail ou SMS, o atacante pode contornar o 2FA. Boas práticas:

  • Fortaleça o e-mail com passkey/chave física ou TOTP.

  • Evite perguntas de segurança fáceis (quando existirem). Prefira métodos modernos.

  • Remova números antigos e e-mails que você não controla mais.

Preferência de métodos (ordem prática)

Quando você puder escolher, uma ordem comum de robustez é: passkeys ou chave física > app autenticador (TOTP) > notificação push (bem configurada) > SMS. Isso não significa que push seja “ruim”, mas exige disciplina para não aprovar solicitações inesperadas.

Exemplos práticos de configuração por cenário financeiro

Cenário 1: seu e-mail é o centro de recuperação

Ações recomendadas:

  • Ative passkey no e-mail, se disponível; caso não, use TOTP.

  • Gere e guarde códigos de backup.

  • Revise e-mails/telefones de recuperação e remova os que não são seus.

  • Ative alertas de login e revise dispositivos conectados.

Cenário 2: banco com autenticação por app e confirmação de transações

Muitos bancos usam o próprio app como fator (biometria + dispositivo). Boas práticas:

  • Ative biometria e PIN do aparelho.

  • Não deixe notificações de conteúdo sensível aparecerem na tela bloqueada (quando possível).

  • Se o banco permitir “dispositivo confiável”, evite cadastrar aparelhos que você não controla.

  • Se houver opção de “chave de segurança” ou “passkey” para o portal web, considere ativar para reduzir risco em acessos via computador.

Cenário 3: corretora/investimentos com login no navegador

Como o acesso web é comum, a resistência a phishing é valiosa:

  • Prefira passkeys ou chave física, se disponível.

  • Se só houver TOTP, ative e guarde códigos de backup.

  • Evite salvar sessão em computadores compartilhados.

  • Revise permissões de dispositivos e encerre sessões antigas.

Erros comuns e como corrigir

Erro: ativar 2FA e ignorar os códigos de backup

Correção: volte nas configurações e gere códigos de backup. Guarde fora do celular. Se você já perdeu o acesso ao autenticador, use o processo de recuperação do serviço e, ao recuperar, refaça a configuração com backup.

Erro: usar SMS por comodidade quando há TOTP/passkey

Correção: migre para TOTP ou passkey. Em muitos serviços, dá para adicionar o método forte e depois remover o SMS como fator principal (às vezes o SMS fica apenas como recuperação; avalie se isso é aceitável para o seu risco).

Erro: aprovar notificações sem checar

Correção: trate qualquer pedido inesperado como incidente. Negue, troque senha, revise sessões e métodos de recuperação. Se isso se repetir, considere mudar para passkey ou chave física, que reduz a chance de cair em “aprovação sob pressão”.

Erro: ter passkey apenas em um dispositivo

Correção: para contas críticas, cadastre uma segunda passkey em outro dispositivo controlado ou mantenha um método alternativo forte. O objetivo é evitar ficar refém de um único aparelho.

Checklist rápido de implementação (para aplicar hoje)

  • Ativar passkey (ou TOTP) no e-mail principal.

  • Ativar 2FA no banco/corretora/carteiras digitais, preferindo métodos mais fortes que SMS.

  • Gerar e guardar códigos de backup em local seguro fora do celular.

  • Revisar dispositivos conectados e encerrar sessões desconhecidas.

  • Revisar e atualizar opções de recuperação (remover contatos antigos).

  • Configurar bloqueio de tela forte e bloqueio automático curto no celular.

  • Adicionar uma segunda passkey ou método alternativo forte para contas críticas.

Notas técnicas úteis (sem complicar)

Por que TOTP funciona sem internet?

Porque o código é calculado localmente a partir de um segredo compartilhado e do horário atual. O servidor faz o mesmo cálculo e compara. Se o relógio estiver errado, os códigos podem falhar; por isso o ajuste automático de data/hora é importante.

Por que passkeys resistem melhor a phishing?

Porque a autenticação criptográfica é vinculada ao domínio do serviço. Uma página falsa em outro endereço não consegue obter uma assinatura válida para o domínio real. Diferente de senha e código, que podem ser digitados em qualquer página e reutilizados pelo atacante.

O que é melhor: passkey sincronizada ou só no dispositivo?

Sincronizada aumenta conveniência e reduz risco de perda de acesso ao trocar de aparelho, mas depende da segurança do ecossistema/conta que sincroniza. No dispositivo reduz dependência de sincronização, mas exige mais cuidado com redundância (segunda passkey e/ou códigos de backup). Para contas financeiras, o mais importante é: ter método forte e ter recuperação planejada, sem abrir portas fracas.

Regra prática: segurança forte + recuperação planejada > segurança forte sem plano de recuperação.

Agora responda o exercício sobre o conteúdo:

Qual prática reduz o risco de perder acesso ao ativar 2FA com aplicativo autenticador (TOTP) e ao mesmo tempo evita fragilizar a segurança da conta?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

Os códigos de backup permitem recuperar a conta se o celular for perdido, desde que fiquem fora do aparelho e bem protegidos. Adicionar um método alternativo forte cria redundância sem depender de recuperação fraca.

Próximo capitúlo

Configurações essenciais de segurança no celular

Arrow Right Icon
Aprenda Finanças pessoais

AprendaFinanças pessoais

Participe de nossos cursos online gratuitos para dominar as finanças pessoais! Aprenda grátis e com certificação, do controle financeiro à educação financeira.

 Aprenda Administração e Negócios

AprendaAdministração e Negócios

Cursos online gratuitos em Administração e Negócios, com certificação grátis. Explore Finanças, Marketing, RH, Empreendedorismo, Vendas e muito mais!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store